Adecuación al Reglamento General de Protección de Datos europeo de tu implementación de analítica web y publicidad online

Cookie Consent Manager european GDPR

Por qué realizar la adecuación al RGPD europeo

El Reglamento europeo se aprobó el 25 de mayo de 2016 pero no comenzará a aplicarse en España hasta dos años después, el 25 de mayo de 2018. Durante este periodo, las normas nacionales preexistentes son las aplicables.

Esta «tregua» tiene como objetivo permitir que todas las empresas puedan preparar y adaptar sus tratamientos de protección de datos para el momento en que se empepzará a aplicar la nueva normativa.

Por favor, no esperéis al último momento. Las multas pueden llegar al 4% de facturación.

Como es el proceso de adecuación de la empresa al RGPD

Con la ayuda de la herramienta Facilita de la Agencia Española de Protección de Datos (AEPD) puedes identificar si el tratamiento de datos de la empresa es de escaso riesgo.

Cuando existen riesgos, esta es la hoja de ruta para adaptarse al Reglamento General de Protección de Datos (RGPD):

  1. Designación del DELEGADO DE PROTECCIÓN DE DATOS (DPD), sus responsabilidades, e identificar a la/s persona/s responsables de COORDINAR LA ADAPTACIÓN.
  2. Elaborar el REGISTRO ACTIVIDADES DE TRATAMIENTO, teniendo en cuenta su finalidad y la base jurídica. Puedes usar el servicio de copia para pedir la copia actual de la relación de ficheros inscritos de los que dispone de la que dispone la AEPD.
  3. Realizar un ANÁLISIS DE RIESGOS (guía en PDF).
  4. Revisar MEDIDAS DE SEGURIDAD a la luz de los resultados del análisis de riesgos.
  5. Establecer mecanismos y procedimiento de NOTIFICACIÓN DE QUIEBRAS DE SEGURIDAD.
  6. A partir de los resultados del análisis de riesgos, realizar, en su caso, una EVALUACIÓN DE IMPACTO EN LA PROTECCIÓN DE DATOS (guía en PDF).

La implementación de la adecuación requerirá:

  • Adecuar los FORMULARIOS derecho de información
  • Adaptar los MECANISMOS Y PROCEDIMIENTOS para el ejercicio de derechos
  • Valorar si los ENCARGADOS ofrecen garantías y adaptación de contratos
  • Elaborar / Adaptar POLÍTICA DE PRIVACIDAD

En todo caso, es imprescindible documentar todas las actuaciones realizadas para poder acreditar la diligencia en el cumplimiento (Guía del Reglamento General de Protección de Datos para responsables de tratamiento).

Garantizar la protección de datos personales en las herramientas de analítica web y publicidad online

¿Las herramientas de analítica web y de publicidad online están preparadas para la aplicación la Regulación General de Protección de Datos Europea?

Las leyes de protección de datos españolas previas ya ayudaron a que las empresas pusieran a trabajar su departamento legal para identificar las cookies y datos recopilados en las distintas herramientas, extensiones y funcionalidades usadas en tu sitio web.  ás allá de esta revisión y actualización, hay algunas consideraciones adicionales que se deben tener en cuenta en cuanto al uso de herramientas de analítica web y de redes de publicidad online.

El escándalo sobre el uso de Facebook en la campaña electoral de Trump y el Brexit por parte de Cambridge Analytica ha sensibilizado la sociedad a unos niveles nunca vistos en cuanto a la protección del uso de sus datos personales.

Dicho esto, las herramientas de analítica web no tienen intención de identificar individualmente a usuarios. La intención de las herramientas de analítica web es la de la de poder identificar audiencias agregadas con suficiente importancia para que una mejora en el comportamiento y rendimiento de estas suponga un impacto para los negocios digitales.

En realidad, las condiciones de uso y medidas de protección de datos de Google Analytics y de otras herramientas de analítica web no permiten que envies o almacenes datos de carácter personal en ellas.

Dicho esto, una implementación muy habitual es la de poder identificar un cliente con un código único para luego poder cruzar información con tu base de datos de clientes o CRM. Nada raro, ya que cruzar datos es un paso imprescindible para obtener información accionable.

Os dejo algunas pautas, para pensar en ellas:

  1. Ya no vale el «Si sigues navegando, aceptas cookies». Sin que los navegadores tengan un mecanismo de opt-in, es responsabilidad del sitio web que el usuario dé su consentimiento explícito, es decir, que realice una acción y sea consciente de lo que implica.
  2. Al introducirse el nuevo derecho de olvido, si identificas al usuario con un userId deberás asegurarte de borrar cualquier relación almacenada que te permitiera relacionar ese usuario con el ciudadano que ha pedido el borrado.
  3. Si en la identificación de usuario usabas el email cifrándolo sin clave (Ej: md5), ya no te vale. Como mínimo, necesitas usar un algoritmo con clave de encriptación (Ej: SHA256).

Adecuación de la implementación de Google Analytics y cookies publicitarias

Un enfoque para el cumplimiento es el de no recopilar datos personales (cookies, IP, userId, etc) en nuestras herramientas de analítica web y publicidad y así no tener necesidad de pedir consentimiento al usuario.

La comisión europea clarificó en una nota de prensa que si no identificamos al usuario, no es necesario obtener el consentimiento de cookies:

  • Simpler rules on cookies: The so called «cookie provision», which has resulted in an overload of consent requests for internet users, will be streamlined. New rules will allow users to be more in control of their settings, providing an easy way to accept or refuse the tracking of cookies and other identifiers in case of privacy risks. The proposal clarifies that no consent is needed for non-privacy intrusive cookies improving internet experience (e.g. to remember shopping cart history). Cookies set by a visited website counting the number of visitors to that website will no longer require consent.

Si se quiere identificar al usuario con fines de análisis o con fines publicitarios, no hay otra que la de pedir al usuario que acepte conscientemente cada una de las finalidades.

Os pongo un ejemplo del Cookie Consent Manager que usa Oracle (PDF)

El cuadro emergente no desaparece hasta que el usuario da su consentimiento, puede aceptar las finalidades que se informan:

O puede indicar que sólo quiere que se usen datos requeridos para mantener la sesión:

Es probable que los navegadores puedan proporcionar un mecanismo para facilitar el proceso de opt-in y opt-out. Pero por el momento, deben ser los propietarios de los sitios web los que se preocupen de proporcionar el mecanismo adecuado ya que el consentimiento otorgado tiene que ser verificable y disponer de un sistema de registro para poder demostrar que el afectado otorgó su consentimiento.

Google Analytics usa la cookie _ga para identificar el navegador del usuario hasta durante 2 años si no se configura el contrario. ¿Podemos considerarlo un dato personal o un dato «pseudoanonimo«? Puede ser discutible:

(Recital 30 EU GDPR) Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags.

Otro ejemplo tiene que ver con el período de retención de datos. Así lo resuelve Google Analytics:

La RGPD nos da una oportunidad de poner el foco en garantizar más derechos a los ciudadanos sobre los datos que tenemos almacenados sobre ellos o que nos permiten identificarlos. Aprovechámoslo.

¿Quieres que te configuremos un ‘Cookie Consent Manager’ en tu web para poder indentificar el usuario y realizar publicidad de remarketing legalmente? Te podemos desarrollar un código javascript y lo instalas, o si dispones de GTM te lo instalamos nosotros.

Para cualquier duda o si necesitas ayuda, aquí estamos.

 

Deja una respuesta